DATABEHANDLERAFTALE - HR

Til nærværende bruttolønskontrakt

(Kunde herefter benævnt "Dataansvarlig")

og

(Leverandør herefter benævnt "Databehandler")

(herefter samlet benævnt "Parterne" og hver for sig "Part")

har indgået følgende databehandleraftale (”Aftalen”)om Databehandlerens behandling af personoplysninger

på vegne af den Dataansvarlige:

 

1. Baggrund, formål og omfang

 

1.1 Som led i den Dataansvarliges indgåelse af aftale om levering af tjenester, herefter

benævnt ”Driftaftalen”, som beskrevet i Aftalens bilag 1, foretager Databehandleren behandling af

personoplysninger, som den Dataansvarlige er ansvarlig for.

 

1.2 Databehandleren skal overholde lovgivningens til enhver tid stillede krav til databehandlere,

herunder fra den 25. maj 2018; Persondataforordningen (Europa-Parlamentets og Rådets forordning

2016/679 af 27. april 2016om beskyttelse af fysiske personer i forbindelse med behandling af

personoplysninger og om fri udveksling af sådanne oplysninger) med tilhørende retsakter og heraf

afledt national lovgivning.

 

1.3 Det er et krav i Persondatalovgivningen, at der mellem den dataansvarlige og databehandleren

indgås skriftlig aftale om den behandling, som skal foretages; en såkaldt ’databehandleraftale’.

Denne Aftale udgør sådan databehandleraftale.

 

2. Personoplysninger omfattet af aftalen

 

2.1 Denne Aftale og tilhørende instruks omfatter alle typer personoplysninger, som beskrevet i Aftalens

bilag 1.

3. Geografiske krav

 

3.1 Den behandling af persondata, som Databehandleren foretager efter aftale med den Dataansvarlige,

må alene foretages af Databehandleren eller underdatabehandlere, jf. pkt. 5, indenfor det

Europæiske Økonomiske Samarbejde (EØS). Databehandleren er ingenlunde berettiget til at lade

databehandling foregå udenfor EØSuden den Dataansvarliges skriftlige samtykke, medmindre det

kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt;

i så fald underretter databehandleren den data-ansvarlige om dette retlige krav inden behandling,

medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige

samfundsmæssige interesser.

 

4. Instruks

 

4.1 Omfanget afde opgaver, som den Dataansvarlige skal levere og understøtte, betyder, atder i medfør

af Parternes aftale, Driftaftalen, vil ske forskellige former for behandling af personoplysninger. De

forskellige former for behandling af personoplysninger er beskrevet i Aftalens bilag 1.

 

4.2 Databehandleren handler alene efter dokumenteret instruks fra den Dataansvarlige.

Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller

behandles på anden måde, end hvad der fremgår af den Dataansvarliges instruks. Alle de for

afviklingen af Driftaftalen nødvendige og beskrevne behandlinger betragtes som dokumenterede.

Anden behandling kan dog ske såfremt det kræves i henhold til EU-ret eller medlemsstaternes

nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den

dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en

sådan underretning af hensyn til vigtige samfundsinteresser.

 

4.3 Såfremt en instruktion efter Databehandlerens opfattelse er i strid med lovgivningen, skal

Databehandleren orientere den Dataansvarlige herom.

 

4.4 Denne Aftale og tilhørende instruks omfatter de kategorier af registrerede, som er anført i bilag1.

 

4.5 Såfremt behandlingen af personoplysninger hos Databehandleren sker helt eller delvist ved

anvendelse af fjernopkobling, herunder hjemmearbejdspladser, skal Databehandleren fastsætte

retningslinjer for medarbejdernes behandling af personoplysninger ved anvendelse af

fjernopkobling, som i øvrigt skal opfylde de i Aftalen stillede krav.

 

4.6 Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges

forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om

indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af

Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer

Databehandleren den Dataansvarlige herom. Den dataansvarlige har i portalen for bestillinger selv

adgang til at kunne oprette brugere, ændre og eller slette brugere og data.

 

4.7 Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, jf. pkt. 4.6,

herunder til underdatabehandlere. Databehandlerens bistand afregnes til Databehandlerens til

enhver tid gældende timetakst for sådant arbejde. Gældende timetakst for 2018 er DKK 850,- pr time

som kun faktureres mod forudgående skriftlig aftale om udførelse af det forespurgte.

 

5. Brug af underdatabehandler

 

5.1 Den Dataansvarlige giver Databehandleren samtykke til anvendelse af underdatabehandlere,

forudsat atde i Aftalen stillede betingelserfordetteer opfyldt. Databehandleren underretter den

Dataansvarlige om sådanne underdatabehandlere.

 

5.2 Underdatabehandleren er under Databehandlerens instruks. Databehandleren har indgået skriftlig

databehandleraftale med underdatabehandleren, hvori det er sikret, at underdatabehandleren

opfylder krav tilsvarende dem, som stilles til Databehandleren af den Dataansvarlige i medfør af Aftalen.

5.3 Omkostninger forbundet med etablering af aftaleforholdet til en underdatabehandler, herunder

omkostninger til udarbejdelse af databehandleraftale og eventuel etablering af grundlag for

overførsel til tredjelande, afholdes af Databehandleren og er således den Dataansvarlige

uvedkommende.

 

5.4 Såfremt den Dataansvarlige måtte ønske at instruere underdatabehandlere direkte, bør dette alene

ske efter drøftelse med og via Databehandleren. Hvis den Dataansvarlige afgiver instruks direkte

overfor underdatabehandlere, skal den Dataansvarlige senest samtidig underrette Databehandleren

om instruksen og baggrunden for denne. Hvor den Dataansvarlige instruerer underdatabehandlere

direkte, a) er Databehandleren fritaget for ethvert ansvar, og enhver følge af sådan instruks er alene

den Dataansvarliges ansvar, b) hæfter den Dataansvarlige for enhver omkostning, som instruksen

måtte medføre for Databehandleren, herunder er Databehandleren berettiget til at fakturere den

Dataansvarlige med sin sædvanlige timetakst for al arbejdstid, som en sådan direkte instruks måtte

medføre for Databehandleren og c) den Dataansvarlige er selv ansvarlig overfor underdatabehandlere for enhver omkostning, vederlag eller anden betaling til underdatabehandleren, som den direkte instruks måtte medføre.

5.5 Den Dataansvarlige accepterer ved indgåelsen af nærværende Aftale, at Databehandleren er

berettiget til at skifte eller tilføje en underdatabehandler, forudsat, at a) en eventuel ny

underdatabehandler overholder tilsvarende betingelser, som stilles i nærværende pkt. 5 til

nuværende underdatabehandlere og, at b)den Dataansvarlige senest 30dage forinden en eventuel

ny underdatabehandlers påbegyndelse af behandlingen af personoplysninger, som den

Dataansvarlige er dataansvarlig for, af Databehandleren orienteres om den nye underdatabehandlers identitet.

 

5.6 Såfremt den Dataansvarlige ikke ønsker at Databehandleren anvender en ny underdatabehandler

som varslet, jf. pkt. 5.6, skal den Dataansvarlige gøre skriftlig indsigelse til Databehandleren mod

anvendelsen af sådan ny underdatabehandler senest 14 dage efter modtagelse af orientering, jf. pkt.

 

5.7. I fald Databehandleren ikke ser sig i stand til at imødekomme en eventuel indsigelse fra den

Dataansvarlige mod en ny underdatabehandler, meddeles dette til den Dataansvarlige snarest mulig,

og den Dataansvarlige kan i så fald herefter opsige Driftaftalen til udløbet af den i pkt. 5.6.) anførte

frist.

 

6. Behandling og videregivelse af personoplysninger

 

6.1 Den Dataansvarlige indestår for at have fornøden hjemmel til behandling af personoplysningerne

omfattet af nærværende Aftale.

 

6.2 Databehandleren må ikke uden skriftligt samtykke fra den Dataansvarlige videregive oplysninger til

tredjemand, medmindre sådan videregivelse følger af lovgivningen eller af en bindende anmodning

fra en retsinstans eller en databeskyttelsesmyndighed, eller det fremgår af denne Aftale.

 

7. Sikkerhed

 

7.1 Databehandleren skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger mod,

at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de

kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen,

jf. pkt. 1.2 ovenfor.

 

7.2 Databehandleren, jf. pkt. 7.1, implementerer og opretholder de i bilag 2 beskrevne

sikkerhedsforanstaltninger og i øvrigt opfylde de i Driftaftalen stillede krav. De i bilag 2 stillede

sikkerhedskrav udgør den Dataansvarliges krav til sikkerhedsforhold hos Databehandleren

Databehandleren er altid berettiget til at implementere alternative sikkerhedsforanstaltninger under

forudsætning af, at sådanne sikkerhedsforanstaltninger som minimum opfylder eller giver større

sikkerhed end de i bilag 2, jf. pkt. 7.2, beskrevne sikkerhedsforanstaltninger og i øvrigt opfylder de i

Driftaftalen stillede krav til sikkerhed. Databehandleren kan ikke uden den Dataansvarliges skriftlige

forudgående godkendelse foretage forringelse af sikkerhedsforholdene.

 

7.3 Databehandleren skal efter nærmere aftale med den Dataansvarlige, så vidt muligt, under

hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren,

bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i forordningens artikel 32

(gennemførelse af passende tekniske og organisatoriske foranstaltninger), 34 (underretning om brud

på persondatasikkerheden til de registrerede), 35 (foretagelse af konsekvensanalyse vedrørende

databeskyttelse) og 36 (forudgående høring). I den forbindelse er Databehandleren berettiget til at

fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som

sådan aftale måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel

betaling til underdatabehandlere. Gældende timetakst for 2018 er DKK 850,- pr time som kun

faktureres mod forudgående skriftlig aftale om udførelse af det forespurgte.

 

7.4 Såfremt det i pkt. 7.3 anførte fører til skærpede krav til sikkerhedsforanstaltninger i forhold til det

allerede aftalte mellem Parterne i medfør af denne Aftale, implementerer Databehandleren, så vidt

det er muligt, sådanne foranstaltninger, forudsat at Databehandleren modtager betaling herfor, jf.

pkt. 7.5 nedenfor. Der udføres ikke arbejde uden forudgående skriftlig accept fra den dataansvarlige.

 

7.5 Omkostninger forbundet med implementering af foranstaltninger, jf. pkt. 7.4, afholdes af den

Dataansvarlige og er således Databehandleren uvedkommende. Databehandleren er endvidere

berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens

arbejdstid, som sådan implementering måtte medføre for Databehandleren, ligesom den

Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.

 

8. Tilsynsret

 

8.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige

informationer til, at denne kan påse, at Databehandleren overholder persondataforordningens

artikel 28 og denne Aftale.

 

8.2 I det omfang den Dataansvarlige tillige ønsker, at dette skal omfatte den behandling, som sker hos

underdatabehandlere, oplyses Databehandleren om dette. Databehandleren indhenter herefter

tilstrækkelige oplysninger fra underdatabehandleren.

 

8.3 Såfremt den Dataansvarlige ønsker at foretage tilsyn, som anført i dette pkt. 8, skal den

Dataansvarlige altid give Databehandleren et varsel på mindst 30dage i sådan forbindelse.

 

8.4 Såfremt Databehandleren får udarbejdet en sikkerhedsrevisionsrapport, som beskriver

sikkerhedsforholdene hos underdatabehandleren i overensstemmelse med pkt. 8.2, er den

Dataansvarlige berettiget til på begæring, at få udleveret en kopi heraf, forudsat Databehandleren

er berettiget til at udlevere denne.

 

8.5 DenDataansvarlige afholder alle omkostninger i forbindelsemed tilsyn af sikkerhedsforhold, jf. pkt.

8 hos Databehandleren samt i forhold til underdatabehandleren, herunder er Databehandleren

berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens

arbejdstid, som sådant tilsyn måtte medføre for Databehandleren, ligesom den

Dataansvarlighæfter for eventuel betaling til underdatabehandleren. Gældende timetakst for

2018 er DKK 850,- pr time som kun faktureres mod forudgående skriftlig aftale om udførelse af det forespurgte.

 

9. Persondatasikkerhedsbrud

 

9.1 Såfremt Databehandleren måtte blive bekendt med et persondatasikkerhedsbrud, hvorved forstås

et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret

videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden

måde behandlet, er Databehandleren forpligtet til uden unødig forsinkelse at søge at lokalisere

sådan brud og søge at begrænse opstået skade i videst muligt omfang, samt i det omfang det er

muligt reetablere eventuelt mistede data.

 

9.2 Databehandleren er endvidere forpligtet til uden unødig forsinkelse at underrette den

Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.

Databehandleren skal herefter påden Dataansvarliges anmodning, uden unødig forsinkelse, og i det

omfang det er muligt, give skriftlig meddelelse til den Dataansvarlige, som så vidt muligt skal

indeholde:

 

a) En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal

berørte registrerede og registreringer af personoplysninger.

 

b) Navn påog kontaktoplysninger for databeskyttelsesrådgiveren hos databehandleren

 

c) En beskrivelse af de sandsynlige konsekvenser af bruddet.

 

d) En beskrivelse af den foranstaltninger, som Databehandleren eller underdatabehandleren har

truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.

9.3 For så vidt det ikke er muligt at give de i pkt. 9.2 anførte oplysninger samlet, kan oplysningerne

meddeles trinvist uden unødig yderligere forsinkelse.

 

9.4 Tilsvarende er underdatabehandlere pålagt uden unødig forsinkelse at underrette Databehandleren

i overensstemmelse med pkt. 9.2 og 9.3.

 

10. Ansvarsbegrænsning

 

10.1 Medmindre Parterne har aftalt anden ansvarsbegrænsning, som medfører et mindre ansvar for

Databehandleren, finder nærværende pkt. 10 anvendelse.

 

10.2 For handlinger og undladelser i forbindelse med den af Databehandleren for den Dataansvarlige

foretagne databehandling er Databehandleren ansvarlig overfor den Dataansvarlige efter dansk rets

almindelige regler, med de begrænsninger der følger af dette pkt. 10.

 

10.3 Databehandleren er aldrig ansvarlig overfor den Dataansvarlige for indirekte tab, herunder men ikke

begrænset til tab for følgeskade, tabt indtjening, driftstab, tabt goodwill, tab af data, tredjemands

tab eller andet indirekte tab hos den Dataansvarlige eller tredjemand.

 

10.4 Uagtet årsagen til Databehandlerens eventuelle erstatningsansvar overfor den Dataansvarlige, kan

Databehandlerens samlede erstatningsansvar aldrig overstige et beløb svarende til det løbende

vederlag, som den Dataansvarlige harbetalt til Databehandleren i henhold til Driftaftalen i den6

måneders periode der går forud for den skadegørende handling eller undladelse. Såfremt

Driftaftalen ikkehar været i kraft i 6 måneder på tidspunktet forden skadegørende handling eller

undladelse, opgøres beløbet som det beløb der i henhold til Driftaftalen er betalt som løbende

vederlag henholdsvis burde være betalt som løbende vederlag i henhold til Driftaftalen i Driftaftalens

første 6 måneder. Såfremt der fra de officielle myndigheder udstedes en bøde til den dataansvarlige,

afregnes denne alene af den dataansvarlige.

 

11. Tavshedspligt

 

11.1 Databehandleren skal holde personoplysningerne, som behandles i henhold til Aftalen fortrolige, og

er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine

forpligtelser og rettigheder i henhold til Aftalen, herunder skal Databehandleren pålægge

medarbejdere og eventuelle andre, herunder underdatabehandlere, der er autoriseret til at

behandle de af Aftalen omfattede personoplysninger, fortrolighed om disse. Sådan fortrolighed

finder tillige anvendes efter Aftalens ophør.

 

12. Forrang

 

12.1 Medmindre andet fremgår af Aftalen, har bestemmelser i Aftalen forrang i forhold til tilsvarende

bestemmelser i andre aftaler mellem parterne, herunder Driftaftalen.

 

13. Varighed og ophør af databehandleraftalen

 

13.1 Aftalen træder i kraft ved Parternes underskrift.

 

13.2 I tilfælde af at Driftaftalen ophører, uanset årsag, ophører Aftalen også dog med henvisning til § 13.4

for håndtering/udlevering af den dataansvarliges data for endelig afslutning af Aftalen.

 

13.3 Aftalen kan ikke opsiges særskilt, men kan erstattes af en anden databehandleraftale om samme

forhold. I modsat fald, er Databehandleren forpligtet af denne Aftale, så længe Databehandleren

behandler personoplysninger på vegne af den Dataansvarlige.

 

13.4 Den Dataansvarlige skal snarest muligt og senest 14 dage efter ophør af Driftaftalen oplyse

Databehandleren skriftligt, hvorvidt Databehandleren skal tilbagelevere eller slette de behandlede

personoplysninger. 30 dage efter ophøret af Driftaftalen er Databehandleren berettiget til at slette

alle personoplysninger, som er blevet behandlet under den ophørte Driftaftalen på vegne af den

Dataansvarlige. Databehandleren må dog altid opbevare de behandlede data, såfremt dette følger

af EU-retten eller medlemsstaternes nationale ret.

 

14. Underskrift

 

14.1 Ovenstående tiltrædes hermed med virkning fra Parternes underskrift på hovedkontrakten

 

14.2 Nærværende Aftale er underskrevet i to ligelydende eksemplarer, hvoraf hver af Parterne beholder ét.

15. Bilag

 

Bilag 1: Beskrivelse af baggrunden for og formålet med Aftalen mv.

 

Bilag 2: Beskrivelse af sikkerhedsforanstaltninger

 

BILAG 1 – BESKRIVELSE AF BAGGRUNDEN FOR OG FORMÅLET MED AFTALEN MV.

 

1. Baggrunden for og formålet med Aftalen

 

1.1 Denne Aftale er indgået i forbindelse med Parternes indgåelse af aftale om levering af tjenester,

benævnt ”Driftaftalen, i hvilken forbindelse Databehandleren foretager behandling af

personoplysninger på vegne afden Dataansvarlige til opfyldelse af Driftaftalens formål.

 

1.2 Formålet med behandlingen af personoplysninger er overordnet set, at kunne håndtere

medarbejderes valg af personalegoder ved bruttolønstræk.

 

2. Typer af personoplysninger omfattet af aftalen

 

2.1 Aftalen og tilhørende instruks omfatter alle typer personoplysninger, som behandles af den

Dataansvarlige i henhold til den mellem Parterne indgåede Driftaftale. Der er tale om følgende

oplysningstyper:

 

3. Kategorier af registrerede

 

3.1 De af Aftalen omfattede personoplysninger vedrører fortrinsvis den Dataansvarliges:

Almindelige personoplysninger: Afkryds:

 

  • Navn                                                             X

  • Adresse                                                        X

  • E-mailadresse                                             X

  • Telefonnummer                                         X

  • Cpr-nummer

  • Fødselsdato

  • Betalingsoplysninger

  • Uddannelse

  • Beskæftigelse

  • Tjenstlige forhold

  • Eksaminer

  • Løn

  • Skat

  • Sygefravær

  • Boligforhold

  • Bil

  • IP-adresse

  • Sociale problemer

  • Anfør hvis andre oplysningstyper:

  • Følsomme personoplysninger: Afkryds:

  • Race og etnisk oprindelse

  • Politiske holdninger

  • Religiøs og filosofisk opfattelse

  • Fagforeningsmæssigt tilhørsforhold

  • Genetiske data

  • Biometriske data

  • Helbredsoplysninger

  • Seksualitet og seksuel orientering

 

4. Instruks

 

4.1 Behandlinger, udover de i Aftalen anførte, består endvidere af håndtering af frikøb på produkter, der

stillet til rådighed mod en nedgang i lønnen hos arbejdsgiver.

 

5. Brug af underdatabehandlere

 

5.1 Databehandleren anvender ved Aftalens indgåelse nedenstående, af den Dataansvarlige godkendte

underdatabehandlere, til at forestå de anførte behandlingsopgaver.

Virksomhedsnavn: CVR. nr. : Adresse: Beskrivelse af behandlingsopgaver:

HelloRider – Smartcykler ApS CVR: 36723262 Strandboulevarden 89, København Ø Leverandør af El-Cykler

Vicuras Danmark A/S CVR: 35128126 Wilders Plads 8 A, 1403 København K Leverandør af Massage løsning

5.2 I det omfang en eller flere af de ovenfor anførte underdatabehandlere, foretager behandling af

personoplysninger omfattet af Aftalen udenfor EØS, ligger følgende overførselsgrundlag til grund for

dette.

 

Virksomhedsnavn: Overførselsgrundlag:

Afkryds:

 

  • Ansatte                                                  X

  • Ansøgere

  • Kunder

  • Brugere

  • Patienter

  • Elever

  • Abonnenter

 

Anfør hvis andre kategorier:

 

BILAG 2 til Databehandleraftale

 

SIKKERHEDSFORANSTALTNINGER

Overskrifterne i dette bilag angiver de grundlæggende krav til sikkerhedsforanstaltninger i forbindelse med

behandling af persondata.

 

Bilaget skal udfyldes i henhold til de konkrete omstændigheder, og emnerne kan derfor variere blandt andet

afhængigt af hvilke typer persondata, der behandles.

Det er tilstrækkeligt at henvise til eksisterende politikker, certificeringer og den omhandlede kontrakt, da

disse som helhed dækker sikkerhedsforanstaltningerne.

 

INDLEDNING

1. Dette bilag udgør det bilag, der refereres til i pkt. 7.3 i databehandleraftale, som er indgået

mellem Medarbejderfordele ("Databehandler") ogKunden (den "Dataansvarlige") om

levering af tjenester.

1.2 Bilaget beskriver de sikkerhedsforanstaltninger, som den Dataansvarlige stiller sikkerheden

i forbindelse med Databehandlerens levering af tjenester.

 

2. Krav til databehandlerens kontrolmiljø

2.1 Den Dataansvarlige kræver, at Databehandleren

- Implementerer og vedligeholder de kontroller, der beskrevet i kontrakten og dens bilag.

- Implementerer et samlet sæt af kontroller der modsvarer kravene fra persondataloven i form af officielle vejledninger og bekendtgørelser.

- Implementerer og vedligeholder et sæt af kontroller, der modsvarer kravene fra xxx erklæringerne.

 

2.2 Eventuelle yderligere krav

HENT GPRR Databehandleraftale - HR som PDF
(Klik på PDF ikonet)
  • LinkedIn Social Ikon
  • Facebook
  • Instagram

© 2019 af Medarbejderfordele ApS - Telefon: 71 999 112 - E-mail: info@medarbejderfordele.dk